De 5 belangrijkste vragen over de sovereign cloud beantwoord
Cloudsoevereiniteit: we horen het woord steeds vaker. Dat is niet gek, want de sovereign cloud is in opmars. Dit type cloudoplossing geeft organisaties 100% controle over waar hun data wordt opgeslagen en wie er wel en niet bij kan. En dat wordt voor sommige organisaties steeds belangrijker als zij willen voldoen aan de huidige eisen rond gegevensbescherming, compliance en dataprivacy. De oplossing is nog niet officieel gelanceerd, maar komt er binnenkort aan. Tijd om de belangrijkste vragen erover te beantwoorden.
Wat maakt de sovereign cloud zo belangrijk?
De sovereign cloud is een sleutel voor bepaalde organisaties om te blijven voldoen aan de landelijke en Europese wet- en regelgeving voor gegevensbescherming. Want bedrijven hebben steeds meer gevoelige data, en er is ook steeds meer wetgeving nodig om deze goed te beschermen. Het voldoen aan deze wetten is essentieel voor het bestaansrecht en de continuïteit van organisaties. Digitale soevereiniteit en totale grip op de data is hierin soms vereist.
De Amerikaanse Cloud Act als drijver richting digitale soevereiniteit
Veranderingen in de wetgeving rond dataprivacy in de Verenigde Staten leidden de afgelopen jaren tot een aanscherping van de Nederlandse wet- en regelgeving rond dataopslag. Sommige van deze wetten hebben wereldwijde impact op de privacy en compliance van elke organisatie die haar data bij een Amerikaanse provider in de public cloud heeft staan. Denk aan providers als bij Microsoft, Google of Amazon.
Een van deze wetsveranderingen is de Amerikaanse Cloud Act van 2018. Deze geeft de Amerikaanse overheid het recht om Amerikaanse (technologie)bedrijven te dwingen bepaalde data van hun klanten te verstrekken. Ook als dit Europese klanten zijn, en ook als deze data zich in datacenters op Europees grondgebied bevindt. Dit is in strijd met de Nederlandse wetgeving volgens de Algemene Verordening Gegevensbescherming (AVG). En zo kunnen sommige Nederlandse organisaties binnen de public cloud niet meer voldoen aan de eisen rond gegevensbescherming. Dus moeten zij uitwijken naar een oplossing als een private cloud of de sovereign cloud.
Voor welk soort organisaties is digitale soevereiniteit van belang?
Digitale soevereiniteit is op dit moment vooral van belang voor organisaties die zich aan strengere Nederlandse en/of Europese privacy- en compliance-regels moeten houden. Bijvoorbeeld omdat zij zeer gevoelige informatie verwerken, zoals financiële dienstverleners, zorginstellingen en overheidsinstanties. Of omdat deze organisaties onderdeel zijn van de kritieke infrastructuur, zoals energiemaatschappijen.
Rik van Berendonk, CTO bij OGD: “Veel van dit soort organisaties maken al (deels) gebruik van een private cloud. Ik verwacht dat de sovereign cloud hen straks net als de private cloud sterke privacy biedt, maar tegen wat lagere kosten en met een groter scala aan technische mogelijkheden.”
De sovereign cloud is op zich voor alle organisaties een veilige keuze, omdat zij hierin de meeste grip hebben op hun data: wie heeft er toegang tot de data en waar is deze opgeslagen? Maar voor lang niet alle organisaties is digitale soevereiniteit nu juridisch gezien een must, of per se de beste keuze. Wel kan dit de komende jaren veranderen, omdat de wetgeving zich snel ontwikkelt.
Lees meer over cybersecurity voor overheidsorganisaties in 2023.
Is de public cloud dan niet veilig meer?
Voor de meeste organisaties is de public cloud op dit moment zeker veilig genoeg. De public cloud biedt, in combinatie met de juiste eigen maatregelen, ook sterke cybersecurity- en privacy. Van Berendonk: “Het grootste deel van de benodigde beveiligingsmaatregelen is al beschikbaar in de public cloud. Alleen moet je als organisatie zelf meer doen om die maatregelen goed te implementeren. Bij de sovereign cloud krijg je die service als een op maat gemaakt kant-en-klaar-pakket, geleverd door een lokale partij.”
Daarnaast loop je bij de public cloud dus wel het risico dat de Amerikaanse overheid toegang krijgt tot jouw bedrijfsgegevens. Maar voor veel organisaties is dat verschil niet direct relevant:
“In principe is het alleen een theoretisch risico dat de Amerikaanse overheid aan de haal gaat met jouw data. Dit risico betekent niet dat de Amerikaanse overheid die toegang ook echt wil of er iets mee doet. Het is belangrijk dat elke organisatie voor zich in een dataprivacy-analyse vaststelt of dit risico te lopen is, hoe gevoelig de data is en aan welke privacyregels de organisatie van buitenaf moet voldoen”, legt Van Berendonk uit.
Hij verwacht dat er voor organisaties ook nadelen kleven aan de sovereign cloudoplossing: “Ik vermoed dat deze oplossing duurder is dan een public cloudoplossing. Enerzijds omdat er een derde lokale partij tussen zit, anderzijds omdat je als klant iets minder profiteert van de schaalgrootte van de public cloud. Daarnaast zal de sovereign cloud technisch gezien waarschijnlijk iets achterlopen op de technische ontwikkelingen in de public cloud, doordat updates en nieuwe mogelijkheden pas later worden doorgevoerd. Dit hebben we de afgelopen jaren gezien bij vorige iteraties van al bestaande sovereign clouds, zoals de Duitse Azure-variant.”
Organisaties moeten de komende tijd dus bekijken of de extra privacy-maatregelen van de sovereign cloud voor hen noodzakelijk zijn of dat zij liever gaan voor wat lagere kosten en meer ontwikkelmogelijkheden. Vanuit OGD adviseren we je graag over wat het beste past bij jouw organisatie en haar cloudstrategie.
Lees hier meer over de verschillende bestaande cloudoplossingen: Wat is het verschil tussen public, private en hybrid cloud?
Hoe schakel ik over op de sovereign cloud?
Cloudaanbieders als Microsoft, Google en Amazon hebben hun sovereign cloudoplossingen aangekondigd, maar deze zijn nog niet gelanceerd. De Microsoft Cloud for Sovereignty is hier een voorbeeld van. Op dit moment kun je als Nederlandse organisatie dus nog niet over. Daarom weten we ook nog niet precies hoeveel er straks komt kijken bij een eventuele overstap. Vanuit OGD houden we dit scherp in de gaten.
Van Berendonk: “Ik verwacht dat zo’n overstap wel wat werk zal zijn, bijvoorbeeld vanwege migraties van het ene naar het andere datacenter, en het sluiten van nieuwe contracten. Het moet nog blijken hoe makkelijk de providers het ons in dit opzicht gaan maken.”
Maar wat ís dan precies een sovereign cloud?
De sovereign cloud is een afgekaderde vorm van de wereldwijde public clouddiensten van aanbieders als Microsoft, Google en Amazon. Deze cloudoplossing geeft organisaties zelf alle controle over hun data. Dit betekent dat zij alleen zelf bepalen wie er toegang heeft tot hun data en waar deze is opgeslagen. Dit is mogelijk doordat data in de sovereign cloud altijd is opgeslagen op het eigen grondgebied, in ons geval in Nederlandse datacenters, en doordat er een lokale partij als leverancier optreedt die niet onder buitenlandse wetgeving valt.
Je neemt de sovereign-clouddienst dus niet direct af van een Amerikaanse partij als Microsoft of Google, maar van een lokale leverancier. Deze lokale leveranciers vallen buiten de reikwijdte van de Amerikaanse Cloud Act, en hoeven dus niet te voldoen aan verzoeken van de Amerikaanse overheid om data aan te leveren. Zo’n leverancier maakt onderliggend vervolgens weer gebruik van lokale delen van het cloudplatform van Microsoft of Google. Zo profiteer je als klant ook (deels) van de voordelen van die platforms, zoals schaalbaarheid en technologische vernieuwing. Door deze scheiding van rollen, en daarbovenop het gebruik van versleuteling van jouw data, kunnen de Amerikaanse partijen je data niet meer aanleveren wanneer een overheidsdienst daarom vraagt.
Op deze manier valt jouw data alleen onder de Nederlandse wetgeving. Dit is belangrijk, omdat elk land andere wetten en regels heeft over gegevensbescherming. Daarmee geeft de sovereign cloud grip en helpt het je voldoen aan een (potentieel) belangrijke voorwaarde voor juridische compliancy en dataprivacy.
Toch weten we volgens Van Berendonk nog niet precies hoe de sovereign cloud-constructie er in de praktijk uit gaat zien: “Ik ben benieuwd of de cloudaanbieders met bestaande lokale spelers samenwerken, of dat ze hiervoor eigen lokale juridische entiteiten oprichten. Hiermee houden ze een groter deel van de dienstverlening in eigen hand. Maar de vraag is of zo'n constructie voldoende juridische garanties biedt. We gaan binnenkort zien hoe de techreuzen het oplossen!”
Verder lezen?
In deze whitepaper lees je meer over cloudsoevereiniteit, en de andere 4 belangrijkste ict-trends voor 2023!
Misschien vind je dit leuk
Anderen hebben deze artikelen gelezen